GotoHTTP: новое оружие в арсенале киберпреступников

Эксперты из AhnLab Security Intelligence Center (ASEC) обнаружили новые атаки на MS-SQL-серверы, использующие незащищённые учётные записи и слабые пароли. В рамках вредоносной кампании злоумышленники использовали легальный инструмент удалённого управления GotoHTTP, который ранее редко встречался в подобных операциях.

Гораздо чаще хакеры применяют такие инструменты, как AnyDesk, TeamViewer или AmmyyAdmin. Они также предназначены для легального удалённого управления системами, однако ничто не мешает киберпреступникам использовать их в своих незаконных целях.

В рассмотренной кампании для взлома MS-SQL-сервера атакующие сначала установили CLR SqlShell, аналогичный WebShell для обычных веб-серверов. SqlShell предоставляет доступ к командам и возможностям управления системой на взломанном хосте. С помощью этого инструмента злоумышленники собирали информацию об устройстве и сети, используя команды вроде «whoami.exe», «systeminfo.exe» и «netstat.exe».

Следующим этапом атаки стало внедрение специальных инструментов для повышения привилегий, таких как PetitPotato, SweetPotato и других из серии «Potato». Эти программы позволяют злоумышленникам обойти ограничения низких привилегий в системе и получить более полный доступ к функциям управления. Помимо этого, в рассмотренной атаке хакеры создали новые учётные записи с паролями, которые могли бы обеспечить повторный доступ к системе в дальнейшем.

Одновременно с этим злоумышленники установили программу GotoHTTP для удалённого контроля над сервером. После её запуска автоматически создаётся конфигурационный файл с «Computer Id» и «Access Code», который позволяет удалённо управлять заражённой системой. Доступ к этим данным даёт злоумышленникам возможность полного контроля через графический интерфейс.

Этот случай демонстрирует продолжающуюся тенденцию в действиях киберпреступников: использование уже существующих легальных утилит вместо создания собственных вредоносных программ с нуля или аренды софта по модели MaaS. Кроме того, легальный софт позволяет злоумышленникам обходить средства защиты, так как антивирусы никак не реагирует на условный AnyDesk, который часто применяется администраторами для законного удалённого управления системами.

Основной целью подобных атак на MS-SQL-серверы становятся системы с ненадёжными паролями, что позволяет злоумышленникам осуществлять брутфорс или атаки по словарю. Эксперты рекомендуют использовать сложные и часто меняющиеся пароли, а также регулярно обновлять антивирусные решения до актуальных версий. Дополнительной защитой станет ограничение доступа к серверам через межсетевые экраны и другие средства безопасности.

В условиях роста атак на уязвимые MS-SQL-сервера администраторам рекомендуется внимательно следить за безопасностью систем и применять все возможные меры по усилению защиты.